(Wie) wurde das Smartphone des Amazon-Gründers gehackt? – Seite 1

Es war nur ein Video, verschickt über WhatsApp. Und doch soll es gereicht haben, um das iPhone eines der mächtigsten Tech-Unternehmer der Welt zu infiltrieren – das des Amazon-Gründers Jeff Bezos. Das berichtete zuerst der britische Guardian. Der Absender des Videos und damit der potenzielle Angreifer soll niemand Geringeres gewesen sein als der saudi-arabische Kronprinz Mohammed bin Salman. 

Das klingt besorgniserregend einfach. Das US-Magazin Vice hat nun die Analyse jenes Spezialisten für IT-Forensik veröffentlicht, der das Smartphone von Bezos untersucht hatte, es handelt sich dabei um die Firma FTI Consulting. Der Bericht von FTI Consulting stammt aus dem November 2019. Darin heißt es, dass Bezos' Smartphone mit "mittlerer bis hoher Sicherheit" über eine Malware kompromittiert worden sei, die von dem WhatsApp-Account gesendet worden sei, welchen der saudi-arabische Kronprinz nutze. Man muss das so vorsichtig formulieren. Denn ganz genau weiß man es bisher nicht. Und: Viele Experten sind nicht zufrieden mit der Tiefe und Qualität der vorgelegten Analyse – das zeigen die Reaktionen internationaler Fachleute und die Einschätzung eines deutschen Sicherheitsforschers.

Plötzlich flossen mehr Daten ab

Die Analyse beschreibt zunächst einmal den folgenden Ablauf der Ereignisse: Am 1. Mai 2018 erhielt Amazon-Chef Bezos eine WhatsApp-Nachricht von Mohammed bin Salmans Account auf sein iPhone X. Sie enthielt kommentarlos ein Video, dessen Screenshot eine saudi-arabische und eine schwedische Flagge zeigt. Inhalt soll, so legt eine andere Recherche nahe, ein Vergleich in Datennutzung und damit verbundenen Kosten gewesen sein. Wie bei WhatsApp üblich wurde das Video gemeinsam mit einem Downloader verschickt, der – wie ebenfalls üblich – verschlüsselt war. 

Die Forensiker konnten weder in der Video-Datei Malware finden noch sahen sie sich in der Lage, den Downloader näher zu analysieren beziehungsweise zu prüfen, ob er "zusätzlich zum übertragenen Video Schad-Code enthielt". Sehr wohl fiel den Spezialisten von FTI Consulting aber auf, dass kurz nach dem Erhalt des Videos die Menge an Daten, die von Bezos' iPhone abflossen, "unmittelbar sprunghaft" angestiegen und seitdem nicht mehr auf das vorherige Niveau zurückgegangen sei.

Was das bedeuten könnte? Als "sehr wahrscheinliche Erklärung" nennt der Bericht Techniken wie die, derer sich "fortgeschrittenere mobile Spionagesoftware wie Pegasus von der NSO Group oder Galileo von HackingTeam" bedienten: Diese klinkten sich nämlich in legitime Anwendungen und Prozesse auf dem Smartphone ein, um ihre Aktivitäten zu verschleiern. Große Datenabflüsse etwa des Safari-Browsers und des Mailclients auf Bezos’ Smartphone kurz nach der mutmaßlichen Infektion des Geräts könnten dazu passen.

All das soll sich über einen erstaunlich langen Zeitraum abgespielt haben: Erst im Februar 2019 – also mehr als acht Monate nach der mutmaßlichen Infektion – wurde die Cybersecurity-Firma hinzugezogen. Und zwar, so der Bericht, nachdem Sicherheitskreise gewarnt haben sollen, dass das Smartphone von Jeff Bezos Opfer eines sogenannten Advanced Persistant Threats (APT) geworden sei, also eines ziemlich elaborierten Angriffs, hinter dem staatliche Akteure stehen könnten.

Bekannte Malware will FTI Consulting auf Bezos’ Gerät nicht gefunden haben, auch keine Hinweise auf Werkzeuge, die Nutzungsbeschränkungen auf Geräten umgehen ("Jailbreaking") oder die sich bekannter Sicherheitslücken im Apple-Betriebssystem iOS bedienten. Dass man keine Beweise für bekannte Schadsoftware auf Bezos’ Telefon gefunden habe, widerlege aber nicht, dass sie nie darauf existiert habe, heißt es in dem FTI-Bericht sinngemäß: "Malware beinhaltet häufig Selbstzerstörungsfähigkeiten, die aktiviert werden können, wenn bestimmte Bedingungen oder Ziele erreicht werden."

Allerdings scheint die Firma bei ihrer Analyse auch auf einige Probleme gestoßen zu sein. Laut dem Bericht habe das Gerät für iTunes-Backups Verschlüsselung aktiviert, sodass ein Passwort nötig gewesen wäre für eine "vollständige Analyse der Inhalte des forensischen Images". Genau dieses Passwort scheint jedoch Jeff Bezos nicht mehr eingefallen zu sein – darauf zumindest deutet hin, dass die IT-Forensiker nach Wegen suchten, ebenjenes Passwort zu umgehen. Schlussendlich setzten sie Bezos' Telefon auf die Werkseinstellungen zurück, während sie gleichzeitig nach eigenen Angaben "das Dateisystem und alle anderen relevanten Daten und Artefakte" erhielten.

Das alles bedeutet im Endeffekt: Der FTI-Bericht legt Hinweise und Indizien für einen Zusammenhang zwischen dem Angriff auf Bezos' Smartphone und einer Verwicklung des Golfstaats vor, allerdings keine harten Belege. Entsprechend dementiert die saudi-arabische Botschaft in den USA jede Beteiligung an den Vorfällen.

Offenbar hat Bezos zehn Monate lang nichts bemerkt

In dem FTI-Bericht finden sich aber auch noch weitere, wenn auch uneindeutige Hinweise auf eine Verbindung nach Saudi-Arabien. Konkret geht es um zwei außergewöhnlich gut informiert klingende WhatsApp-Nachrichten, die Bezos vom Account des saudi-arabischen Prinzen bekommen haben soll. Eine davon soll der Amazon-Gründer im Februar 2019 erhalten haben, nach drei Monaten Funkstille. Kurz zuvor wurde Bezos in zwei telefonischen Briefings über eine saudi-arabische Onlinekampagne gegen ihn informiert. In der Nachricht vom WhatsApp-Account des saudi-arabischen Kronprinzen an Bezos heißt es laut dem FTI-Bericht: Alles, was er höre oder gesagt bekomme, sei nicht wahr. "Da gibt es nichts gegen dich oder Amazon von mir oder Saudi-Arabien."

Ein anderer Post des WhatsApp-Accounts bezieht sich auf Bezos' Privatleben: Während der Amazon-Chef offenkundig schon mit seiner damaligen Frau über die Scheidung verhandelte und eine noch nicht öffentlich bekannte Affäre mit der TV-Moderatorin Laura Sanchez hatte, bekam er über den Account des saudi-arabischen Prinzen ein Meme geschickt, das möglicherweise auf diesen Zusammenhang hinwies. Doch noch einmal: Belastbare Belege sind auch das nicht.

Verwunderlich ist, dass Bezos offenbar fast zehn Monate lang nichts von dem Abfluss der Daten bemerkt hat. Lässt sich doch zum Beispiel mit einem Klick feststellen, wie viel Datenvolumen ein Smartphone verbraucht. Nun ist nicht bekannt, wie der Smartphone-Vertrag des Amazon-Gründers aussieht, möglicherweise hat er ein so hohes Datenvolumen, dass ihm der erhöhte Verbrauch schlicht nicht aufgefallen ist. Aber auch dann gäbe es andere Indizien auf einen Datenabfluss, etwa einen schneller erschöpften Smartphone-Akku.

In beiden Fällen wäre es ein Werkzeug, das sehr viel Geld wert ist.
Fraunhofer-Forscher Jens Heider

"Es mag sein, dass man aus der Kommunikation zwischen den beiden Parteien Schlüsse auf den möglichen Angreifer ziehen kann", sagt Jens Heider, Leiter des Testlabors mobile Sicherheit am Fraunhofer-Institut für Sichere Informationstechnologie in Darmstadt. "Nach gegenwärtigen Informationen ist unklar, wie und ob ein Angriff erfolgt ist." Aus technischer Sicht sei das ein ziemliches Rätselraten. Es gebe "wichtige Indizien", aber keine eindeutigen Beweise.

Denn grundlegende Fragen sind noch nicht beantwortet. Es ist unklar, wie die Schadsoftware ihren Weg auf das Smartphone gefunden hat. Geht man davon aus, dass der Hack tatsächlich über das Video vollzogen wurde, stellt sich die Frage, wie das Gerät infiziert wurde. Zwar kann es sein, dass die Angreifer tatsächlich über das auf WhatsApp verschickte Video auf Bezos' iPhone zugegriffen haben. Aber die plötzlich erhöhte Datenübertragung könne auch andere Gründe haben, sagt Heider. Zum Beispiel, dass Bezos zum selben Zeitpunkt andere Apps installiert oder andere Dateien auf sein Smartphone heruntergeladen hätte. Darauf weist auch der Wissenschaftler Bill Marczak von der Universität Berkeley in einem Beitrag auf der Plattform Medium hin. Aus der Analyse gehe nicht hervor, ob das erhöhte Datenvolumen wirklich mit dem Empfang des Videos zusammenhänge.

"Sieht so aus, als wären die Experten nicht qualifiziert genug"

Interpretationen müssen hier natürlich im Konjunktiv stehen. Also: Falls die Angreifer das iPhone im Verborgenen und über einen viel genutzten Messenger infizieren konnten, spricht dies laut Heider "für einen sehr ausgeklügelten Angriff". In diesem Fall sei eine Schwachstelle genutzt worden, die entweder vorher noch nicht bekannt gewesen sei oder die extra für diesen Angriff gesucht worden sei. "In beiden Fällen wäre es ein Werkzeug, das sehr viel Geld wert ist", sagt Heider. Bekannte Schadsoftware lässt sich leichter entdecken.

Der Fraunhofer-Forscher hält die bisher bekannten Untersuchungen für unvollständig. Eine elaborierte Schadsoftware könne sich vor gängigen Kontroll-Tools tarnen. "Bei einem so kritischen Fall kann man nicht davon ausgehen, dass ein Tool die Schadsoftware findet", sagt Heider, "da müsste man schon selbst in das Betriebssystem schauen." Stattdessen hätten die Untersucher nur die Nutzerdaten untersucht. So sieht es auch die IT-Forensikerin Sarah Edwards vom SANS-Institut, das IT-Sicherheitstraining anbietet. Die eingehende Analyse hätte auf dem gesamten System stattfinden müssen, sagte sie gegenüber Vice, "ich hätte darauf von Anfang an bestanden". Der Chef der iOS-Forensik-Firma Elcomsoft, Vladimir Katalov, drückt es gegenüber dem Technologiemedium noch deutlicher aus: "Sieht so aus, als wären die Experten nicht qualifiziert genug."

Politikwissenschaftler Ron Deibert, Direktor des kanadischen Citizen Lab der Universität Toronto, wünscht sich in einer Serie von Tweets "weitere Untersuchungen" zu den heftigen Vorwürfen und mehr Informationen, als bisher veröffentlicht worden seien. Er erinnerte zudem daran, dass die Verbreitung kommerzieller Ausspähsoftware ein globales Sicherheitsproblem für alle Sektoren darstelle – Regierungen, Unternehmen und Zivilgesellschaft. Deiberts Institut unterstützt Journalisten, Menschenrechtler, Lokalpolitiker und andere gefährdete Gruppen, deren Geräte mit Schadsoftware in Verbindung gekommen sind. Der Guardian hatte die Attacke auf Bezos' iPhone in Zusammenhang mit dem Mord an dem regimekritischen saudi-arabischen Journalisten Jamal Kashoggi gesetzt. Ob es wirklich eine Verbindung gibt, ist unbekannt.